Tietoja macOS Monterey 12.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Monterey 12.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Monterey 12.7

Julkaistu 21.9.2023

Apple Neural Engine

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK, Baidu Security)

Kohta lisätty 26.9.2023

Apple Neural Engine

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-40410: Tim Michaud (@TimGMichaud, Moveworks.ai)

Kohta lisätty 26.9.2023

Ask to Buy

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38612: Chris Ross (Zoom)

Kohta lisätty 22.12.2023

Biometric Authentication

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Kohta lisätty 26.9.2023

ColorSync

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-40406: JeongOhKyea (Theori)

Kohta lisätty 26.9.2023

CoreAnimation

Saatavuus: macOS Monterey

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)

Kohta lisätty 26.9.2023

Disk Management

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2023-41968: Mickey Jin (@patch1t) ja James Hutchins

Kohta lisätty 26.9.2023

Game Center

Saatavuus: macOS Monterey

Vaikutus: Appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 26.9.2023

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kohta lisätty 26.9.2023

Kernel

Saatavuus: macOS Monterey

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41992: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)

libxpc

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Kohta lisätty 26.9.2023

libxpc

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Kohta lisätty 26.9.2023

libxslt

Saatavuus: macOS Monterey

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)

Kohta lisätty 26.9.2023

Maps

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40427: Adam M. ja Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 26.9.2023

Sandbox

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 26.9.2023

Kiitokset

Apple Neural Engine

Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab).

Kohta lisätty 22.12.2023

AppSandbox

Haluamme kiittää avusta Kirinia (@Pwnrin).

Kohta lisätty 26.9.2023

Kernel

Haluamme kiittää avusta Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stonea (Google's Threat Analysis Group).

libxml2

Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).

Kohta lisätty 26.9.2023

WebKit

Haluamme kiittää avusta Khiem Trania ja Narendra Bhatia (Suma Soft Pvt. Ltd, Pune (Intia)).

Kohta lisätty 26.9.2023

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

Kohta lisätty 26.9.2023

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: